Beast_v Posted November 16, 2008 Posted November 16, 2008 Собственно в чем проблема, начинают звонить абоненты: "- здравствуйте, у меня конфликт IP адреса..." Выясняем мак вредителя, смотрим логи dhcp сервера... Nov 16 11:48:17 ns dhcpd: DHCPDISCOVER from 00:30:1b:42:83:ef via 172.16.13.1 Nov 16 11:48:17 ns dhcpd: DHCPOFFER on 172.16.13.67 to 00:30:1b:42:83:ef via 172.16.13.1 Nov 16 11:48:17 ns dhcpd: DHCPREQUEST for 172.16.13.88 (192.168.0.250) from 00:30:1b:42:83:ef via 172.16.13.1: lease 172.16.13.88 unavailable. Nov 16 11:48:17 ns dhcpd: DHCPNAK on 172.16.13.88 to 00:30:1b:42:83:ef via 172.16.13.1 Соответственно сервер выдает адрес, клиент почему-то его игнорирует и запрашивает чужой, на что сервер сначала говорит мол фиг, занято, а потом спокойно подтверждает. С чем это может быть связано? Данная проблема в нашей сети уже встречалась, в другом сегменте, при том проблема была практически у всех обитателей сегмента. адреса раздавались как попало и кому попало, но по примеру приведенного выше лога. В прошлый раз проблема как появилась так и пропала, сама по себе. Может ли это быть как-то связано с оборудованием? Или вирье? Спасибо за внимание Вставить ник Quote
martin74 Posted November 16, 2008 Posted November 16, 2008 DHCPNAK - это не отказ сервера выдать адрес? У вас нету клиентов, прописавших себе адреса статикой? Похоже на это. Вставить ник Quote
Beast_v Posted November 16, 2008 Author Posted November 16, 2008 (edited) нет, адреса выдаются по DHCP специально созванивались уточняли, после ребута обоих компов все вдруг чудесным образом ожило, походая ситуация с другими клиентами, кому-то маска кривая выдалась, после ребута стало нормально Свитчи которые релеят DHCP - Dlink DES-3828 если бы было статикой. то и логов бы не было Edited November 16, 2008 by Beast_v Вставить ник Quote
Beast_v Posted November 16, 2008 Author Posted November 16, 2008 (edited) Вирус это.Мм, а что за вирус если не секрет? в последний раз когда у нас такое было, баговал абослютно весь сегмент, само собой что у ВСЕХ вируса быть не может.или хотяб по каким ключам искать Edited November 16, 2008 by Beast_v Вставить ник Quote
Ivan_83 Posted November 16, 2008 Posted November 16, 2008 Помоему ХР запрашивает аренду по ДХЦП адрес который прописан в альтернативной конфигурации. Вставить ник Quote
list Posted November 17, 2008 Posted November 17, 2008 Вчера вылезла такая же проблема. Выдатся чужие адреса, а если адрес свой, то маска кривая. IP адрес dhcp сервера выдавшего инфу клиенту - реальный. Перезагрузки не помогают. Куда копать? Подскажите. Вставить ник Quote
Alex Freeman Posted November 17, 2008 Posted November 17, 2008 DHCPNAK - это не отказ сервера выдать адрес?У вас нету клиентов, прописавших себе адреса статикой? Похоже на это. DHCPNAK - это отказ dhcp сервера выдать адрес, если он посчитает, что в запросе клиента есть некорректные данные. Вставить ник Quote
mschedrin Posted November 17, 2008 Posted November 17, 2008 Вирус этот уже не раз видели на своей сети. Всё хитро задумано. Вирус инфицирует машину, смотрит айпишник, маску, и адрес dhcp сервера который выдал айпишник инфицированой машине. Затем вирус начинает раздавать айпишники самостоятельно исходя из известныйх айпишников и масок(тут, кстати, есть ошибка в расчетах вирусописателя), важный признак - ДНСы он выдает левые. В самом DHCP пакете вирус указывает что dhcp сервер который выдал айпишник "такой-то", указывает он естественно айпи "правильного" сервера. Может быть немного сумбурно объяснил. Возьмите wireshark и посмотрите у клиента траффик - все стяенет ясно. Вставить ник Quote
Ivan_83 Posted November 17, 2008 Posted November 17, 2008 Вирус этот уже не раз видели на своей сети. Всё хитро задумано. Вирус инфицирует машину, смотрит айпишник, маску, и адрес dhcp сервера который выдал айпишник инфицированой машине. Затем вирус начинает раздавать айпишники самостоятельно исходя из известныйх айпишников и масок(тут, кстати, есть ошибка в расчетах вирусописателя), важный признак - ДНСы он выдает левые. В самом DHCP пакете вирус указывает что dhcp сервер который выдал айпишник "такой-то", указывает он естественно айпи "правильного" сервера. Может быть немного сумбурно объяснил. Возьмите wireshark и посмотрите у клиента траффик - все стяенет ясно. Видимо все сайты делаются парнушными и с вирус эксплоитами после такого... Нада на инет шлюзе прозрачно заворачивать все днс запросы на себя, не русорсоёмко и проблемы никто не заметит... А мак он в пакетах дхцп тоже подменяет? Вставить ник Quote
white_skY Posted March 23, 2009 Posted March 23, 2009 подскажите что за вирус, столкнулся с подобной проблемой. Вставить ник Quote
Gorbushka Posted March 23, 2009 Posted March 23, 2009 (edited) подскажите что за вирус, столкнулся с подобной проблемой. http://forum.nag.ru/forum/index.php?showtopic=47754 Edited March 23, 2009 by Gorbushka Вставить ник Quote
SokolovS Posted March 23, 2009 Posted March 23, 2009 Видел этот вирус в сети, благо на 90% доступа стоят DES-3526 и левые DHCP успешно блркируются ACL-ками, DHCP ответ может придти только с магистрали. 53 порт наружу закрывать не хочется ибо бывает что нужно nslookup у внешнего сервера спросить, а так бы закрыл нафиг. Вставить ник Quote
Ivantey Posted March 25, 2009 Posted March 25, 2009 (edited) Вирус прячется с помощью вот этого http://www.spyware-ru.com/udalit-trojan-tdsserv/ А сам вирус один из разновидностей DNSchanger Edited March 25, 2009 by Ivantey Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.